鉴于网络环境日益复杂和不断变化的威胁,组织尽可能积极主动变得更加重要。尽管数据泄露的成本飙升,但大多数组织仍未做好应对财务和声誉影响的准备。这解释了为什么网络保险越来越成为组织的业务需求。今天,网络风险仍然是每个董事会和中小型企业(SEM)经理的主要关注点。当前的网络环境是混乱的——国家支持的间谍组织、以经济为动机的网络犯罪团伙,以及因疏忽导致数据丢失的案例。风险无处不在,经济后果是巨大的。不得不说,网络威胁仍然是当今组织面临的最重要且不断增长的风险之一,但可悲的现实是,很少有组织真正准备好迎接这一挑战。根据PonemonInstitute最新的年度数据泄露成本研究,2018年全球平均数据泄露成本达到148美元,比2017年增长6.4%。有趣的是,损失成本最高的地区包括美国和美国。英国,报告的损失成本几乎是全球平均水平的五倍。显然,这个问题不会消失。虽然网络安全经常因大规模漏洞而成为头条新闻,但最常见的威胁实际上是针对中小型企业的。较小的组织通常天生灵活和创新,他们利用技术和互联网的力量来吸引客户群,但正是这种技术和互联网的广泛使用增加了防御面。根据国家网络安全联盟的一项研究,60%被黑客攻击的中小企业将在6个月内面临破产。购买网络保险的5个理由在当今“数字颠覆”时代,增强您对网络风险的抵御能力需要了解网络治理责任的全部范围。以下是每个企业,无论规模或所有权如何,都需要网络保险的5个原因:1.网络犯罪呈指数级增长绝大多数企业严重依赖在线服务,进一步扩大了他们的网络攻击面。根据英国政府的《2018年网络安全漏洞调查报告》调查,接受调查的英国组织中有43%在过去12个月内遭受过网络安全攻击或数据泄露。随着高度复杂的攻击向量现在司空见惯,组织需要假设他们会在某个时候受到损害,并采取措施(例如,购买网络保险)来降低风险。2.数据泄露成本极其昂贵如前所述,根据PonemonInstitute的结果《2018年数据违规成本研究》,2018年全球数据泄露的平均成本为148美元,数据泄露总成本接近400万美元。此数据不包括欧盟《消费者保护法案》(GDPR,2018年5月生效)和加州《消费者保护法案》(2020年生效)涉及的罚款和制裁金额。相信未来这些法案生效后,这些损失的成本肯定会进一步增加。然而,攻击对组织造成的真正成本超出了财务或补救成本,还包括无法估量和无法恢复的声誉损失——遭受网络攻击会导致客户失去信任,从而导致客户流失;此外,“安全性差”的名声还会阻碍组织开展新业务或获得政府合同等。3.如果第三方数据遭到破坏,组织将承担法律和经济责任美国国防部(DoD)和欧盟GDPR宣布的新法规规定,组织仅负责指定能够提供充分保证以满足要求的第三方NIST800-171和GDPR要求。国防部和英国信息专员办公室(ICO)将追究任何未能进行尽职调查以确保第三方合规性的组织的责任,并可能对其处以罚款。如今,“监管罚款”几乎成为数据泄露的代名词,网络风险已经全球化,使得遵守不同地区的各种法规变得更具挑战性。4.标准/一般保险单不涵盖网络风险网络保险是一种独特的保险范围,旨在解决数据隐私和安全问题,同时也是保护企业免受数据泄露造成的财务和声誉损害的后盾。虽然一般保险政策可能涵盖某些类别的损失,但通常存在许多重大差距,并且网络事件可能会影响许多保险类别。一般保险政策不太可能涵盖“正常”安全漏洞的费用,更不用说网络攻击或“黑客攻击”了。只有专业的网络保险政策才能提供广泛的保障。但是,组织需要仔细研究政策,以了解他们提供的覆盖范围以及他们在政策条件下的责任。5.提高网络意识和风险管理保险只是尽可能挽回损失的一种手段。简单地采用网络保险政策并不能保护组织免受网络攻击。鉴于最常见的网络风险是社会工程——员工自愿但不知不觉地允许攻击发生的行为——组织必须在正确掌握基础知识之前培训每位员工如何避免和识别网络威胁。在更好地防范网络威胁的前提下。事实上,绝大多数网络攻击造成的损害都是由于受害人无法正确应对造成的。组织需要制定全面的风险管理计划,详细说明公司对网络攻击(包括未知威胁)的响应。良好的基础是关键鉴于日益复杂的网络环境和不断变化的威胁,组织尽可能积极主动变得越来越重要。Cyber??Essentials是英国政府制定的信息安全认证项目,得到业界的支持和认可,旨在帮助企业防范外部网络威胁。据了解,Cyber??Essentials(数字安全要点)于2014年由英国政府通信电子安全集团(CESG)(英国政府通信总部GCHQ的信息安全部门)和英国政府商务部首次推出,创新与技能和BSI(英国标准协会)、中小企业信息安全保障(IASME)联盟和信息安全论坛(ISF)。自2014年10月起,所有为英国中央政府处理敏感信息和个人信息的ICT(信息和通信技术)供应商都必须通过Cyber??Essentials认证。据悉,Cyber??Essentials认证分为两个级别:第一级Cyber??Essentials要求组织完成自我评估问卷,经认可的认证机构验证后签发;第二级Cyber??EssentialsPlus是安全升级级别,主要针对组织面临外部网络和网络攻击时的弹性和耐力,要求组织通过认可认证机构的独立安全控制测试,以提供更高级别的保护。英国当局认为,启动认证途径将帮助组织,尤其是可能没有专门的网络安全团队的中小企业,在一个地方一致有效地协调所有安全实践。认证是一个组织的网络安全方法成熟度的重要指标。它有助于抵御最常见的网络威胁,并表明对网络安全的承诺。虽然网络保险可以在组织面临网络威胁时提供一层保护,但它不能替代良好的网络卫生习惯。网络保险应被视为公司整体风险管理的重要补充,但在面临网络风险和数据泄露之前,组织不应坐以待毙!波耐蒙研究所《2018年数据违规成本研究》:https://securityintelligence.com/ponemon-cost-of-a-data-breach-2018/【本文为专栏作者“李少鹏”原创文章,转载请通过安牛获取授权(微信公众号id:gooann-sectv)转载】点此阅读更多本作者好文
